サイバーニュース.jp

世界のサイバーなニュースを配信

ClayRat AndroidマルウェアがWhatsAppとGoogle Photosになりすまし

カテゴリ:

, , , , , , , , ,

概要:急増するClayRatスパイウェアキャンペーン

過去3ヶ月間で、ClayRatと呼ばれるAndroidスパイウェアキャンペーンが急速に活動を拡大しており、zLabsの研究者たちは600以上のユニークなサンプルと50の異なるドロッパーを確認しています。主にロシアのユーザーを標的としており、このマルウェアはWhatsApp、Google Photos、TikTok、YouTubeなどの人気アプリケーションになりすましています。被害者は、欺瞞的なTelegramチャンネルやフィッシングウェブサイトを通じて悪意のあるAPKをインストールするよう誘い込まれます。

一度インストールされると、ClayRatはSMSメッセージ、通話履歴、通知、詳細なデバイス情報を外部に送信します。さらに、フロントカメラで写真を撮影し、被害者のデバイスから直接SMSメッセージを送信したり、電話をかけたりすることも可能です。これにより、感染した各デバイスが強力な監視および配布ハブと化します。

巧妙な拡散手法

このキャンペーンは、ソーシャルエンジニアリングとウェブベースの欺瞞を組み合わせた洗練された手法に依存して、ユーザーの信頼を悪用しています。攻撃者は、偽のGdeDPSランディングページのような偽装ドメインを登録し、訪問者を悪意のあるAPKがホストされているTelegramチャンネルにリダイレクトします。これらのチャンネルには、偽の肯定的なコメント、水増しされたダウンロード数、偽のユーザー証言などの偽装されたソーシャルプルーフが仕込まれており、疑念を減らし、インストール率を高めています。

場合によっては、被害者はAndroidの公式アップデート画面を模倣したセッション形式のインストールフローに誘導されます。簡単なステップバイステップの指示により、ユーザーは不明なソースからのインストールを有効にするよう促され、組み込みのセキュリティ警告を回避します。フィッシングサイトは、「YouTube Plus」ポータルなどの正規サービスになりすまし、スパイウェアを機能アドオンやアップデートとして偽装してホストしています。

検出回避と権限悪用

ClayRatのオペレーターは、検出を回避するためにスパイウェアを継続的に強化しています。新しい亜種ごとに、難読化とパッキングの層が追加されており、ある亜種ではBase64エンコードされたペイロードに「apezdolskynet」というマーカーストリングが挿入され、別の亜種ではコマンド&コントロール(C2)通信にAES-GCM暗号化が利用されています。

Android 13のより厳格なパーミッションモデルを回避するために、マルウェアはデフォルトのSMSハンドラーの役割を悪用し、パーミッションごとのプロンプトをトリガーすることなく広範なSMSアクセス権を自身に付与します。この単一の承認により、ClayRatはすべての受信および保存されたメッセージを読み取り、確認なしに新しいSMSを送信し、他のアプリに配信される前にSMSイベントを傍受し、SMSデータベースを変更することができます。

アクティベーション後、スパイウェアは直ちにフロントカメラで写真を撮影し、C2サーバーに外部送信します。以下の包括的なリモートコマンドをサポートしています:

  • get_apps_list:インストールされているアプリケーションを取得します。
  • get_calls:通話履歴を外部送信します。
  • get_camera:フロントカメラの画像をキャプチャしてアップロードします。
  • get_sms_list:SMSメッセージを収集します。
  • messsms:すべての連絡先に大量のSMSメッセージを送信します。
  • send_sms:SMSメッセージを送信します。
  • make_call:電話をかけます。

対策と推奨事項

App Defense Allianceのパートナーとして、ZimperiumはGoogleと調査結果を共有しており、Google Play Protectは既知のClayRat亜種からユーザーを自動的に保護しています。また、マルウェアがAndroidの制限を回避するためにドロッパーアプリとして偽装している50以上のサンプルも特定されています。

ユーザー向けの防御策としては、以下の点が挙げられます:

  • 不明なソースからのインストールを無効にする
  • サイドローディングする前にアプリケーションを慎重に審査する。
  • 公式アップデートを速やかに適用する。

企業は、デフォルトのSMSハンドラーの割り当てを信頼できるアプリケーションのみに制限するモバイルアプリケーション管理(MAM)ポリシーを施行すべきです。ClayRatの急速な進化に対抗し、広範な侵害を防ぐためには、セキュリティベンダーとプラットフォームプロバイダー間の継続的な警戒と協力が不可欠です。

元記事: https://gbhackers.com/clayrat-android-malware/

投稿をさらに読み込む